我有点惊讶的是，还没有提到带有客户端证书的SSL。当然，只有当您能够依靠证书识别用户群体时，这种方法才真正有用。但许多政府/公司确实向其用户发放了这些证书。用户不必担心创建另一个用户名/密码组合，并且在每个连接上都建立了身份，因此与服务器的通信可以完全无状态，不需要用户会话。（并非意味着所提及的任何/所有其他解决方案都需要会议）

谢谢你的忠告。我们最终使用了一个定制的HTTP头将身份令牌从客户端传递给服务，为将RESTful API和微软即将推出的Zermatt identity框架集成做准备。我已经在这里描述了问题和我们的解决方案。我还采纳了tweet的建议，购买了RESTfulWebServices——如果你正在构建任何类型的RESTfulAPI，这是一本非常好的书。

这已经有一段时间了，但这个问题仍然相关，尽管答案可能有点改变。

API网关将是一个灵活且高度可配置的解决方案。我测试并使用了KONG，非常喜欢我所看到的。KONG提供了自己的管理REST API，您可以使用它来管理用户。

Express-gateway.io是最新的，也是一个API网关。

我想添加（与臭马特一致），最简单的解决方案是将SSL证书添加到您的站点。换句话说，确保您的url是HTTPS://。这将保障你的交通安全（一掷千金）。使用RESTfulurl，想法是保持它的简单性（不像WS*security/SAML），您可以使用oAuth2/openID连接，甚至可以使用Basic Auth（在简单的情况下）。但您仍然需要SSL/HTTPS。请在此处检查ASP.NET Web API 2安全性：http://www.asp.net/web-api/overview/security（文章和视频）

OWASP（开放Web应用程序安全项目）有一些涉及Web应用程序开发各个方面的备忘单。本项目是非常有价值和可靠的信息来源。关于REST服务，您可以检查：https://www.owasp.org/index.php/REST_Security_Cheat_Sheet

我使用了OAuth几次，也使用了一些其他方法（BASIC/DIGEST）。我衷心建议OAuth。以下链接是我见过的关于使用OAuth的最佳教程：

http://hueniverse.com/oauth/guide/